Một lỗ hổng bảo mật được phát hiện cách đây 2 năm nhưng không được cập nhật kịp thời.
Được viết bởi: Qin Xiaofeng
Cuối tuần trước, ví tiền mã hóa Atomic Wallet đã bị hack.
Theo thống kê của thám tử on-chain ZachXBT, tổng số tiền bị đánh cắp trong cuộc tấn công này đã vượt quá 35 triệu đô la Mỹ, liên quan đến BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC và Doge, v.v. Tài sản, khoản lỗ cá nhân lớn nhất là 7,95 triệu USDT (phiên bản TRC) và năm nạn nhân hàng đầu có khoản lỗ lũy kế khoảng 17 triệu đô la Mỹ, chiếm gần một nửa.
Vào ngày 3 tháng 6, một số người dùng Ví Atomic đã đăng trên phương tiện truyền thông xã hội rằng tài sản ví của họ đã bị đánh cắp. Sau đó, Atomic Wallet đã đăng: "Chúng tôi đã nhận được báo cáo về hành vi trộm cắp ví và đang làm mọi thứ có thể để điều tra và phân tích nguyên nhân. Nếu có nhiều tin tức liên quan hơn sẽ được phát hành càng sớm càng tốt.
Sau gần hai ngày chờ đợi, Atomic Wallet đã chính thức đưa ra một dòng tweet mơ hồ vào sáng nay, "Hiện tại chưa đến 1% người dùng hoạt động hàng tháng bị ảnh hưởng/báo cáo và một cuộc điều tra bảo mật đang được tiến hành; Atomic Wallet đã đặt địa chỉ nạn nhân được thông báo cho các sàn giao dịch lớn và các công ty phân tích chuỗi khối để theo dõi và ngăn chặn việc chuyển tiền bị đánh cắp.” Atomic Wallet đã không đáp ứng các mối quan tâm của người dùng như vectơ tấn công của tin tặc, cách tránh rủi ro và bồi thường sau đó.
KOL "Tay" được mã hóa phát hiện ra rằng vụ tấn công sớm nhất xảy ra vào lúc 5:45 ngày 3 tháng 6 (UTC+ 8 ) và giao dịch bị đánh cắp gần nhất xảy ra vào lúc 23:30 UTC ngày 3 tháng 6 (UTC+ 8 ) bằng cách thu thập địa chỉ của nạn nhân. Trước tiên, tin tặc thu thập tài sản bị đánh cắp đến một địa chỉ mới, sau đó chuyển đổi từng mã thông báo thành mã thông báo cơ bản của chuỗi thông qua uniswap, mm swap, sunswap và các DEX khác rồi chuyển lại đến địa chỉ mới (chờ các hoạt động tiếp theo).
Sau vụ tấn công, trâu, Giám đốc điều hành của công ty cơ sở hạ tầng mã hóa Jito Labs và Brian, người đứng đầu bộ phận kinh doanh, đã giúp một nạn nhân phục hồi khoản lỗ 1 triệu đô la.
Làm thế nào mà hacker đạt được cuộc tấn công? Người sáng lập Btc 21.de "Joko" nghi ngờ rằng có một "bản vá độc hại" trong Atomic Wallet, bản vá này sẽ gửi khóa riêng cho kẻ tấn công sau khi người dùng mở ứng dụng. Suy luận đến từ các cuộc thảo luận cộng đồng, một số nạn nhân cho biết tài sản của họ đã bị tin tặc đánh cắp trong vòng một phút sau khi đăng nhập vào Atomic Wallet.
(Diễn đàn nạn nhân)
Một số nạn nhân cũng báo cáo rằng khóa riêng của tài khoản Atomic Wallet của họ chưa bao giờ được sao lưu hoặc ủy quyền trên các nền tảng khác, đồng thời họ không sử dụng thẻ SIM và hiếm khi kết nối với WiFi tại nhà, nhưng tất cả tài sản ADA vẫn bị tin tặc đánh cắp. Tuy nhiên, có một chi tiết đáng chú ý là người dùng đang sử dụng Atomic Wallet Android phiên bản 1.13.20 và phiên bản mới nhất là 1.15.1 (cập nhật ngày 23/05/2023) nên không loại trừ khả năng có lỗ hổng bảo mật trong phiên bản cũ của ví.
"Tay" phân tích rằng ứng dụng của Atomic Wallet không được xây dựng theo cách an toàn, hoặc ai đó đã đẩy phiên bản độc hại của ứng dụng và đánh cắp khóa của người dùng; hoặc họ (Atomic Wallet) đã vô tình ghi lại khóa riêng của người dùng vào máy chủ của họ, đó là được truy cập bởi các tác nhân độc hại.
Cần lưu ý rằng ngay từ một năm trước, công ty bảo mật Least Authority đã tiết lộ rằng Atomic Wallet có lỗ hổng bảo mật và cảnh báo người dùng về những rủi ro.
(Thông báo của cơ quan tối thiểu)
Vào tháng 2 năm 2022, Least Authority đã công bố một báo cáo nêu rõ rằng công ty, lần đầu tiên được thuê vào đầu năm 2021 để kiểm tra thiết kế hệ thống của Atomic và các triển khai mã hóa lõi, máy tính để bàn và thiết bị di động tương ứng, đã kết luận rằng có các lỗ hổng khiến người dùng gặp "rủi ro đáng kể" và thiếu sót. , báo cáo đã được gửi cho Atomic vào tháng 4 năm 2021. Atomic đã phản hồi những phát hiện vào tháng 11 năm 2021, cho biết các bản cập nhật và cải tiến đã được thực hiện. Tuy nhiên, khi xem xét phiên bản sửa đổi do Atomic Wallet cung cấp, Least Authority nhận thấy rằng một số lượng lớn vấn đề vẫn chưa được giải quyết và gây ra rủi ro bảo mật cho người dùng. Least Authority chính thức đưa ra cảnh báo cho người dùng để cảnh báo rủi ro theo các tiêu chuẩn kiểm toán và chính sách công bố thông tin. Tuy nhiên, lời cảnh báo này vẫn không thu hút được sự chú ý của Atomic Wallet, và ở một mức độ nào đó, nó còn gài mìn ngầm cho cuộc tấn công ngày nay.
Trả lời về vụ trộm Ví Atomic, Yu Xian, người sáng lập công ty bảo mật SlowMist, nhận xét: "Thật trớ trêu khi những thông tin nhạy cảm như mã nhớ/khóa cá nhân lại được chuyển cho một ví không chịu trách nhiệm về bảo mật hoặc cấp độ bảo mật. không đủ cao. Thông tin bất đối xứng ở đây quá nghiêm trọng và thậm chí tôi cũng khó có thể trả lời ví nào được bảo mật liên tục... ký ức/khóa riêng nên được ẩn trong chip mã hóa, môi trường ngoại tuyến hoặc môi trường đáng tin cậy và sử dụng đa chữ ký/ MPC thành đĩa đơn Chỉ là một chút rắc rối."
Điều này được hiểu rằng Atomic Wallet tự định vị mình là một ứng dụng phi tập trung, không giam giữ, không sở hữu khóa riêng của người dùng. Nó tuyên bố hiện hỗ trợ hơn 1.000 loại tiền điện tử và có hơn 5 triệu người dùng trên toàn thế giới. "Ví nguyên tử hoạt động như một giao diện cho phép người dùng truy cập vào quỹ blockchain của họ. Ví và các hoạt động của nó được bảo vệ bằng mã hóa và dữ liệu quan trọng như khóa riêng và cụm từ sao lưu được lưu trữ an toàn trên thiết bị cục bộ của người dùng thông qua thuật toán mã hóa đáng tin cậy. "cấp trên."
Do tính chất không giam giữ của nó, Atomic Wallet cũng đã nêu rõ trong điều khoản dịch vụ rằng các nhà phát triển không chịu trách nhiệm cho bất kỳ thiệt hại nào mà người dùng phải gánh chịu trên chuỗi. "Trong mọi trường hợp, Atomic Wallet sẽ không chịu trách nhiệm pháp lý cho những thiệt hại do các dịch vụ vượt quá $50 gây ra."
Cuối cùng, chúng tôi cần nhắc nhở tất cả các nạn nhân rằng các tài khoản giả mạo là Atomic Wallet đã đăng các tweet hoàn tiền trên Twitter và người dùng sẽ được chuyển hướng đến các trang web lừa đảo sau khi nhấp vào, vì vậy họ cần cảnh giác hơn. Khi tìm kiếm tài khoản chính thức trên Twitter, hãy tìm chứng nhận V màu xanh - tài khoản giả mạo sử dụng chứng nhận V vàng để gây nhầm lẫn cho công chúng, tài khoản chính thức là: @AtomicWallet.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Atomic Wallet bị hack Mất 35 triệu USD, vô tình hay tự trách?
Được viết bởi: Qin Xiaofeng
Cuối tuần trước, ví tiền mã hóa Atomic Wallet đã bị hack.
Theo thống kê của thám tử on-chain ZachXBT, tổng số tiền bị đánh cắp trong cuộc tấn công này đã vượt quá 35 triệu đô la Mỹ, liên quan đến BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC và Doge, v.v. Tài sản, khoản lỗ cá nhân lớn nhất là 7,95 triệu USDT (phiên bản TRC) và năm nạn nhân hàng đầu có khoản lỗ lũy kế khoảng 17 triệu đô la Mỹ, chiếm gần một nửa.
Vào ngày 3 tháng 6, một số người dùng Ví Atomic đã đăng trên phương tiện truyền thông xã hội rằng tài sản ví của họ đã bị đánh cắp. Sau đó, Atomic Wallet đã đăng: "Chúng tôi đã nhận được báo cáo về hành vi trộm cắp ví và đang làm mọi thứ có thể để điều tra và phân tích nguyên nhân. Nếu có nhiều tin tức liên quan hơn sẽ được phát hành càng sớm càng tốt.
Sau gần hai ngày chờ đợi, Atomic Wallet đã chính thức đưa ra một dòng tweet mơ hồ vào sáng nay, "Hiện tại chưa đến 1% người dùng hoạt động hàng tháng bị ảnh hưởng/báo cáo và một cuộc điều tra bảo mật đang được tiến hành; Atomic Wallet đã đặt địa chỉ nạn nhân được thông báo cho các sàn giao dịch lớn và các công ty phân tích chuỗi khối để theo dõi và ngăn chặn việc chuyển tiền bị đánh cắp.” Atomic Wallet đã không đáp ứng các mối quan tâm của người dùng như vectơ tấn công của tin tặc, cách tránh rủi ro và bồi thường sau đó.
KOL "Tay" được mã hóa phát hiện ra rằng vụ tấn công sớm nhất xảy ra vào lúc 5:45 ngày 3 tháng 6 (UTC+ 8 ) và giao dịch bị đánh cắp gần nhất xảy ra vào lúc 23:30 UTC ngày 3 tháng 6 (UTC+ 8 ) bằng cách thu thập địa chỉ của nạn nhân. Trước tiên, tin tặc thu thập tài sản bị đánh cắp đến một địa chỉ mới, sau đó chuyển đổi từng mã thông báo thành mã thông báo cơ bản của chuỗi thông qua uniswap, mm swap, sunswap và các DEX khác rồi chuyển lại đến địa chỉ mới (chờ các hoạt động tiếp theo).
Sau vụ tấn công, trâu, Giám đốc điều hành của công ty cơ sở hạ tầng mã hóa Jito Labs và Brian, người đứng đầu bộ phận kinh doanh, đã giúp một nạn nhân phục hồi khoản lỗ 1 triệu đô la.
Làm thế nào mà hacker đạt được cuộc tấn công? Người sáng lập Btc 21.de "Joko" nghi ngờ rằng có một "bản vá độc hại" trong Atomic Wallet, bản vá này sẽ gửi khóa riêng cho kẻ tấn công sau khi người dùng mở ứng dụng. Suy luận đến từ các cuộc thảo luận cộng đồng, một số nạn nhân cho biết tài sản của họ đã bị tin tặc đánh cắp trong vòng một phút sau khi đăng nhập vào Atomic Wallet.
(Diễn đàn nạn nhân)
Một số nạn nhân cũng báo cáo rằng khóa riêng của tài khoản Atomic Wallet của họ chưa bao giờ được sao lưu hoặc ủy quyền trên các nền tảng khác, đồng thời họ không sử dụng thẻ SIM và hiếm khi kết nối với WiFi tại nhà, nhưng tất cả tài sản ADA vẫn bị tin tặc đánh cắp. Tuy nhiên, có một chi tiết đáng chú ý là người dùng đang sử dụng Atomic Wallet Android phiên bản 1.13.20 và phiên bản mới nhất là 1.15.1 (cập nhật ngày 23/05/2023) nên không loại trừ khả năng có lỗ hổng bảo mật trong phiên bản cũ của ví.
"Tay" phân tích rằng ứng dụng của Atomic Wallet không được xây dựng theo cách an toàn, hoặc ai đó đã đẩy phiên bản độc hại của ứng dụng và đánh cắp khóa của người dùng; hoặc họ (Atomic Wallet) đã vô tình ghi lại khóa riêng của người dùng vào máy chủ của họ, đó là được truy cập bởi các tác nhân độc hại.
Cần lưu ý rằng ngay từ một năm trước, công ty bảo mật Least Authority đã tiết lộ rằng Atomic Wallet có lỗ hổng bảo mật và cảnh báo người dùng về những rủi ro.
(Thông báo của cơ quan tối thiểu)
Vào tháng 2 năm 2022, Least Authority đã công bố một báo cáo nêu rõ rằng công ty, lần đầu tiên được thuê vào đầu năm 2021 để kiểm tra thiết kế hệ thống của Atomic và các triển khai mã hóa lõi, máy tính để bàn và thiết bị di động tương ứng, đã kết luận rằng có các lỗ hổng khiến người dùng gặp "rủi ro đáng kể" và thiếu sót. , báo cáo đã được gửi cho Atomic vào tháng 4 năm 2021. Atomic đã phản hồi những phát hiện vào tháng 11 năm 2021, cho biết các bản cập nhật và cải tiến đã được thực hiện. Tuy nhiên, khi xem xét phiên bản sửa đổi do Atomic Wallet cung cấp, Least Authority nhận thấy rằng một số lượng lớn vấn đề vẫn chưa được giải quyết và gây ra rủi ro bảo mật cho người dùng. Least Authority chính thức đưa ra cảnh báo cho người dùng để cảnh báo rủi ro theo các tiêu chuẩn kiểm toán và chính sách công bố thông tin. Tuy nhiên, lời cảnh báo này vẫn không thu hút được sự chú ý của Atomic Wallet, và ở một mức độ nào đó, nó còn gài mìn ngầm cho cuộc tấn công ngày nay.
Trả lời về vụ trộm Ví Atomic, Yu Xian, người sáng lập công ty bảo mật SlowMist, nhận xét: "Thật trớ trêu khi những thông tin nhạy cảm như mã nhớ/khóa cá nhân lại được chuyển cho một ví không chịu trách nhiệm về bảo mật hoặc cấp độ bảo mật. không đủ cao. Thông tin bất đối xứng ở đây quá nghiêm trọng và thậm chí tôi cũng khó có thể trả lời ví nào được bảo mật liên tục... ký ức/khóa riêng nên được ẩn trong chip mã hóa, môi trường ngoại tuyến hoặc môi trường đáng tin cậy và sử dụng đa chữ ký/ MPC thành đĩa đơn Chỉ là một chút rắc rối."
Điều này được hiểu rằng Atomic Wallet tự định vị mình là một ứng dụng phi tập trung, không giam giữ, không sở hữu khóa riêng của người dùng. Nó tuyên bố hiện hỗ trợ hơn 1.000 loại tiền điện tử và có hơn 5 triệu người dùng trên toàn thế giới. "Ví nguyên tử hoạt động như một giao diện cho phép người dùng truy cập vào quỹ blockchain của họ. Ví và các hoạt động của nó được bảo vệ bằng mã hóa và dữ liệu quan trọng như khóa riêng và cụm từ sao lưu được lưu trữ an toàn trên thiết bị cục bộ của người dùng thông qua thuật toán mã hóa đáng tin cậy. "cấp trên."
Do tính chất không giam giữ của nó, Atomic Wallet cũng đã nêu rõ trong điều khoản dịch vụ rằng các nhà phát triển không chịu trách nhiệm cho bất kỳ thiệt hại nào mà người dùng phải gánh chịu trên chuỗi. "Trong mọi trường hợp, Atomic Wallet sẽ không chịu trách nhiệm pháp lý cho những thiệt hại do các dịch vụ vượt quá $50 gây ra."
Cuối cùng, chúng tôi cần nhắc nhở tất cả các nạn nhân rằng các tài khoản giả mạo là Atomic Wallet đã đăng các tweet hoàn tiền trên Twitter và người dùng sẽ được chuyển hướng đến các trang web lừa đảo sau khi nhấp vào, vì vậy họ cần cảnh giác hơn. Khi tìm kiếm tài khoản chính thức trên Twitter, hãy tìm chứng nhận V màu xanh - tài khoản giả mạo sử dụng chứng nhận V vàng để gây nhầm lẫn cho công chúng, tài khoản chính thức là: @AtomicWallet.